Tratamiento de Riesgo

de Seguridad

Equipo Nº 11

UNFV – FIIS -2011

Universidad Nacional Federico Villarreal

Introducción

La información es un activo para las organizaciones y en consecuencia requiere una protección adecuada, y debido al actual ambiente creciente esta expuesta a un mayor rango de amenazas sin contar con las debilidades inherentes de la misma.

Marco General

Análisis del Riesgo

Evaluación del Riesgo

Valoración del Riesgo

Gestión del Riesgo

TratamientoDel Riesgo

Análisis del Riesgo

Evaluación del Riesgo

Valoración del Riesgo

Gestión del Riesgo

TratamientoDel Riesgo

Marco General

Evaluación del Riesgo

«Proceso general de análisis y evaluación del riesgo.»

ISO/IEC Guide 73:2002

Tratamiento del Riesgo

«Proceso de selección e implementación de medidas

para modificar el riesgo.»

ISO/IEC Guide 73:2002

Debilidades&

Vulnerabilidades

AmenazasRiesgo

TRATAMIENTO DE RIESGOS DE SEGURIDAD

IMPACTOS

FACTORES

Control

Control

Evaluación y Tratamiento del Riesgo

Evaluandolos riesgos

de Seguridad

Análisis de

Riesgo

Valoración de Riesgo

Tratando riesgos de Seguridad

Procesode gestión

del riesgo enISO/IEC 27005

Tratando Riesgos de Seguridad

OPCIONES

Proceso de Tratamiento de Riesgos

Riesgos identificadosy evaluados

Decisión sobre el tratamiento

del riesgo para reducir losriesgos identificados

Controles seleccionados conbase en la decisión sobre el

tratamiento del riesgo

Controles paraimplementación

Los controles deben asegurar que los riesgos son reducidos a un nivel aceptable

tomando en cuenta:

Factores Críticos de Éxito

Una política, objetivos, y actividades que reflejen los objetivos del negocio de la organización

Un enfoque para implantar, mantener, monitorear e improvisar la seguridad que sea consistente con la cultura de la organización

Una buena comprensión de los requisitos de la seguridad, de la evaluación del riesgo y de la gestión del riesgo

Un sistema integrado y equilibrado

Caso:

Consultora CMS

IMPLEMENTACIÓN DEL PLAN DE TRATAMIENTO DE RIESGOS

IMPLEMENTACIÓN DEL PLAN DE TRATAMIENTO DE RIESGOS

IMPLEMENTACIÓN DEL PLAN DE TRATAMIENTO DE RIESGOS

Otros Aspectos

IMPLEMENTACIÓN DE LOS CONTROLES

SELECCIONADOS ACORDE AL MANUAL DE PROCEDIMIENTOS

Política de Seguridad de la Información

CASO

Comisión Central Seguridad Informática

Comité deInformática

Oficina deSeguridad Informática

Equipos Interfuncionales

EspecialistasDe Informática

Personal en General

Oficina de ControlInterno

RESP. EJECUTIVA

RESP.TÉCNICA

RESP.CUMPLIMIENTO

RESP.CONTROL

EsquemaSSI SUNAT

Relación de Procedimientos de Seguridad Informática

Organización para la

seguridad

Metodología de análisis de riesgos

Reportes de incidentes de

seguridad

Circular Nº 039-2005

Relación de Procedimientos - SUNAT

N°

PROCEDIMIENTO DESCRIPCION ESTATUS

01 Metodología de análisis de riesgos  

Determina las acciones a seguir para la identificación y calificación de riesgo de los activos críticos, así como la frecuencia de

ejecución del mismo.

En desarrollo

02 Asignación y control de equipos

informáticos

Establece las políticas, procedimientos y responsabilidades para el control de los equipos y accesorios informáticos, tales como

asignación, codificación, entrega, traslado, reasignación, devolución y bajas por obsolescencia técnica

En desarrollo

03 Clasificación, marcado y

tratamiento de la información

Define los lineamientos y procedimientos para la clasificación, marcado y tratamiento de la información física y lógica de la

Superintendencia Nacional de Administración Tributaria. 

En desarrollo

04 Reportes de incidentes de

seguridad

Establece los lineamientos y procedimientos para reportar los incidentes y vulnerabilidades de seguridad informática, los mismos

que permitirán identificar las debilidades de los sistemas y las acciones no autorizadas en su acceso y/o uso.

Aprobado

05 Procedimiento para la revisión de la

seguridad y monitoreo a

usuarios

Define el procedimiento para verificar el cumplimiento de las políticas, procedimientos y normas de seguridad que deben

efectuarse, así como la normatividad para las intervenciones en los recursos informáticos de los usuarios.

En desarrollo

06 Seguridad física y del entorno de la

SUNAT

Define los lugares restringidos y establece las normas y control para los accesos, así como los mecanismos de seguridad

(ambiental) a ser considerados.

En desarrollo

CIRCULAR N° 039-2005

Materia:Incidentes y vulnerabilidades de seguridad informática que deben ser reportados para identificar las debilidades de los sistemas y las acciones no autorizadas en su acceso y/o uso, permitiéndonos minimizar los riesgos y/o dar respuesta oportuna frente a posibles ataques.

Finalidad:Establecer los lineamientos y procedimientos para reportar los incidentes y vulnerabilidades de seguridad informática.

Alcance:A todo el personal de la Superintendencia Nacional de Administración Tributaría.

Conclusiones El tratamiento de riesgos deriva de la evaluación de

riesgos.

La evaluación de riesgos identifica, cuantifica y prioriza riesgos, determinando con el tratamiento los controles necesarios.

La seguridad de información se consigue implantando un conjunto adecuado de controles.

Los controles necesitan ser establecidos, implementados, monitoreados, revisados y mejorados donde sea necesario en la organización.

Recomendaciones Antes de considerar el tratamiento de riesgos, la organización

debe decidir el criterio para determinar si es que los riesgos son aceptados o no.

Para cada uno de los riesgos identificados, se necesita realizar una decisión de tratamiento de riesgo.

Para los riesgos identificados, donde la decisión del tratamiento de riesgo ha sido aplicado a controles, estos deben de ser seleccionados e implementados.

La gerencia deberá aprobar, publicar y comunicar a todos los empleados, un documento de política de seguridad de información.

Fin de la presentación